【詳細情報】ポート10666、65000、65010を介して通信するRoxrat.12トロイの木馬 | ScanNetSecurity
2026.02.22(日)

【詳細情報】ポート10666、65000、65010を介して通信するRoxrat.12トロイの木馬

◆概要:
 Roxrat.12は、新しいバックドア型トロイの木馬である。Roxrat.12はサイズが716,800バイトで、通常、電子メール、ネットワーク、リムーバブルメディア、インターネットリレーチャットなどのファイル共有媒体を介して、Microsoft Windowsオペレーティングシステ

国際 海外情報
121 views
facebookLINE
◆概要:
 Roxrat.12は、新しいバックドア型トロイの木馬である。Roxrat.12はサイズが716,800バイトで、通常、電子メール、ネットワーク、リムーバブルメディア、インターネットリレーチャットなどのファイル共有媒体を介して、Microsoft Windowsオペレーティングシステムを搭載した他のコンピューターに拡散する。このトロイの木馬は、Borland Delphiプログラミング言語で記述されている。

 Roxrat.12は、WindowsディレクトリーにファイルShell64.exe、WindowsのシステムディレクトリーにファイルZbios.exeとして自己コピーを作成する。Roxrat.12は、Windowsとテキストファイルの起動時にトロイの木馬を実行するように、Windowsレジストリを以下のように変更する。

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Microsoft Shell 64=C:Windows System directoryShell64.exe

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
Microsoft Shell 64=C:Windows System directoryShell64.exe

HKLMSoftwareCLASSES xtfileshellopencommand
C:Windows System directorybios.exe /NOTEPAD "%1""

 さらに、Roxrat.12は、Windowsの起動時にこのトロイの木馬を実行するように、ファイルwin.ini及びsystem.iniも以下のように変更する。

System.ini
[boot]
shell=Explorer.exe C:Windows directoryShell64.exe

Win.ini
[Windows]
run=C:Windows directoryShell64.exe

 一旦インストールされると、Roxrat.12がリモート攻撃者からのコマンドをTCPポート10666、65000、65010で受信する。接続されると、攻撃者はパスワードやその他の重要なデータの盗用、ローカル設定の変更、ファイル管理の実行、さらなる悪意のあるプログラムのインストール、その他の悪意のある数々の操作を実行できる。

 又、Roxrat.12は、検出を回避するか感染コンピューターへの再攻撃を実行するために、複数のアンチウイルス及びセキュリティ関連のプロセスを無効にする。

別名:
Backdoor.Roxrat.12、Roxrat.12、Roxrat


◆情報ソース:
・Symantec Corp. ( http://www.symantec.com/avcenter/venc/data/backdoor.roxrat.12.html ) , Dec. 05, 2002

◆キーワード:
 Trojan: Backdoor

◆分析:
 (iDEFENSE 米国) Roxrat.12は、Roxratトロイの木馬ファミリーの目立たない亜種である。

◆検知方法:
 WindosディレクトリーのファイルShell64.exe及びWindowsシステムディレクトリーのファイルZbios.exeを探す。さらに、トロイの木馬によって作成されたWindowsレジストリキーとファイルsystem.ini及びwin.iniへの変更を探す。

◆リカバリー方法:
 Roxrat.12に関連した全ファイルとWindowsのレジストリキーの変更を全て削除する。破壊・破損したファイルをクリーンなバックアップコピーで修復する。ファイアウォールを使用し全通信を監視して管理し、感染したコンピューターからリモート攻撃者によってインストールされた可能性のある全ての悪意のあるプログラムが完全に排除されたことを確認する。全パスワードを変更し、攻撃に対してセキュリティを強化する。全てのアンチウイルス及びセキュリティ関連ソフトウェアの機能を検証する。

◆暫定処置:
 全ての新規ファイルを慎重に管理し、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。全通信を監視し管理するためにファイアウォールを使用する。

◆ベンダー情報:
 現在、シマンテック社のアンチウイルスソフトウェアでは、この新しい攻撃用プログラムに対応したアップデートシグニチャファイルを提供している。また、他のアンチウイルスソフトウェアも、経験則を用いてこの悪意のあるプログラムを検知できる可能性がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【23:47 GMT、12、05、2002】

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 信和、サイバー攻撃を受けた可能性のある事象を確認

    信和、サイバー攻撃を受けた可能性のある事象を確認

  2. クリックしていないのにアダルトサイトに登録させる「ゼロクリック詐欺」(シマンテック)

    クリックしていないのにアダルトサイトに登録させる「ゼロクリック詐欺」(シマンテック)

  3. フォレンジック調査を無駄にしないため サイバー攻撃被害発生時にやってはいけないNG行動集、個人情報保護委員会が公表

    フォレンジック調査を無駄にしないため サイバー攻撃被害発生時にやってはいけないNG行動集、個人情報保護委員会が公表

  4. 第三者が個人情報を閲覧しうる状態となり「BTCBOX」がサービス停止、関東財務局から報告徴求命令も

    第三者が個人情報を閲覧しうる状態となり「BTCBOX」がサービス停止、関東財務局から報告徴求命令も

  5. 医療機器保守用 VPN 装置から侵入 ~ 日本医科大学武蔵小杉病院にランサムウェア攻撃

    医療機器保守用 VPN 装置から侵入 ~ 日本医科大学武蔵小杉病院にランサムウェア攻撃

ランキングをもっと見る
PageTop
ホーム 国際 海外情報 記事
TOP